信息技術環境下圖書館信息安全及對策研究

劉 念

（西安建筑科技大學圖書館 陜西 西安 710055）

信息技術在圖書館的廣泛應用，給圖書館信息資源的開發和利用帶來了諸多方便，各類信息技術日益成為圖書館服務的必要保障，也使信息安全問題變得十分突出。因此，信息技術環境下圖書館必須充分認識現代信息技術，尤其是信息網絡的發展對信息安全的影響，采取多種措施保障圖書館信息系統安全。

1 信息技術環境下圖書館服務的實現途徑

1.1 手機圖書館

手機圖書館系統是無線移動通信技術在圖書館領域的應用，它可以很好地與數字圖書館業務管理系統相結合，并將數字圖書館的服務延伸到手機終端，把數字圖書館的讀者服務功能盡可能多的在手機上實現。手機圖書館最大的優勢在于其訪問方便靈活，不受時間和空間限制，讀者可以隨時隨地訪問圖書館的資源。還可以按照個人喜好來定制各種信息服務，如綁定手機、短信提醒服務等個性化服務。讀者可以在數字圖書館業務系統的WEB網站設定與當前讀者相關聯的手機號，同時系統會發送自動生成的驗證碼到讀者手機，以確認讀者身份，完成手機號碼的綁定。

1.2 數字電視圖書館

數字電視的發展為信息技術服務的實現提供了良好的機遇。圖書館可以利用數字電視的交互功能開發相應的接口，將數字圖書館與數字電視連接起來，用戶只要打開電視通過遙控器就可以享受數字圖書館的便利服務。如“國圖空間”是全球首家國家圖書館的數字電視應用服務，現已覆蓋北京地區360余萬戶家庭，用戶足不出戶即可享受國家數字圖書館的資源和服務。服務內容包括館況介紹、館內動態、新書快遞、圖書續借等7個欄目，用戶可通過電視訪問圖書館的數字資源，完成圖書的檢索與續借，瀏覽文化共享工程的多媒體資源等。

1.3 圖書館聯盟

信息網絡技術為圖書館服務聯盟的實現提供了技術保障。通過組建圖書館服務聯盟可以充分發揮圖書館資源共建共享的整體優勢。我國圖書館服務聯盟發展已初具規模，形成了全國性的、區域性的和專業性的圖書館聯盟。其主要的服務有文獻傳遞，館際互借等［1］。

2 信息技術環境下圖書館信息安全問題

信息技術環境下圖書館的信息服務具有基于網絡、開放獲取等顯著特點，其面臨的安全問題較之傳統圖書館更多，主要包括非法用戶通過網絡進行的網絡攻擊和開放獲取階段的版權管理問題。

2.1 用戶數據及身份的保密性、泄露風險

用戶在使用圖書館檢索終端進行咨詢時，需要一定的身份注冊和驗證，往往會產生Cookie數據，記錄下用戶的檢索歷史等信息，這便涉及到用戶的身份及隱私。如果黑客等一些非授權訪問的主體利用自己的計算機技能實施入侵系統，破壞系統，或者一些不法分子將用戶的數據隱私記錄或分析后盜賣給他人，使用戶的操作信息、獲取資料、賬號密碼等個人信息外泄。圖書館的信息安全將會遭到破壞。

2.2 開放端口風險

圖書館的數字化信息通常是以Web站點的形式對外開放服務的，因此必須開放一些服務端口，同時系統的服務器一般存放在專門的服務器中心，管理人員需要對服務器進行操作基本都會采取遠程控制等手段，也必須開放一些服務端口和訪問權限，而在進行這些正常數據交換時，數據信息可能被中間者跟蹤、破解，造成安全威脅［2］。

2.3 身份認證風險

服務器系統登錄和主機登錄一般都是使用固定口令，甚至有時候很多人都是用同一種口令，如有的系統就一直使用默認的用戶名及密碼，如admin等，且在數據庫中有存儲記錄，可重復使用。這樣非法用戶通過窮舉攻擊等手段往往很容易得到這種靜態口令，可對資源的安全造成嚴重威脅［3］。

2.4 館藏文獻的數字化和提供帶來的風險

隨著圖書館聯盟的推廣，數字圖書館檢索平臺可以幫助用戶進行瀏覽、查詢、文獻請求，下載乃至上載文獻，即館藏文獻數字化。這些平臺的建設與維護存在著知識產權和版權的風險。比如館際互借和文獻傳遞，在館際互借和文獻傳遞之前，一般會發生復制行為。如數字化、錄入、掃描等，之后再向用戶傳遞。那么這些資源的版權將受到威脅。

3 信息技術環境下圖書館信息安全問題對策

針對信息技術環境下圖書館的安全問題，需要分別從技術、運行、管理等3個方面提出解決對策，如圖1所示。

圖1 信息技術環境下圖書館安全保障

3.1 數據安全問題對策

3.1.1 提高數據安全技術

（1）身份認證技術。隨著智能手機和平板電腦等移動終端的廣泛流行，手機等移動終端登陸圖書館是泛在圖書館實現的重要途徑之一。可采取短信密碼的形式，當用戶登錄圖書館資源時，身份認證系統以短信形式發送隨機的6位密碼到用戶的手機上。用戶在登錄認證時候輸入此動態密碼，從而確保系統身份認證的安全性。由于手機與用戶綁定比較緊密，短信密碼生成與使用場景是物理隔絕的，因此密碼在通路上被截取幾率降至最低。

（2）防火墻技術。防火墻具有很好的保護作用。首先，入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。其次，防火墻還可以關閉不使用的端口，而且還能禁止特定端口流出通信，封鎖特洛伊木馬。第三，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

（3）入侵檢測與系統審計技術。通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。在發現入侵后會及時做出響應，包括切斷網絡連接、記錄事件和報警等。對互聯網進行有效監督，預防、制止數據泄密。

（4）加密技術。用加密來保護信息。利用密碼變換將明文變換成只有合法者才能恢復的密文，在信息傳輸過程中加密。

3.1.2 運行控制

（1）訪問控制。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。防止非法的主體進入受保護的網絡資源，允許合法用戶訪問受保護的網絡資源，并阻止用戶對非授權網絡資源進行訪問。

（2）數據備份與容災。將海量數據以某種方式保存，當數據遭到破壞時，可迅速恢復，重新加以利用［4］。

3.1.3 加強管理

（1）安全管理制度。信息技術環境下圖書館安全管理制度是系統管理的一個重要內容，是保障系統按照目標運行、效益最大化的必要條件和保障措施。安全管理制度必須建立圖書館運行的安全管理組織和系統安全等級，制定嚴格的技術文件管理制度、規范的系統操作程序，針對系統運行可能遇到的故障、災難和攻擊，建立完善的系統運行災備制度和審計制度。

（2）授權管理。在信息技術環境中，用戶權限的分配必須遵循“最小特權”原則。最小特權原則要求信息系統中每個用戶所必須的最小特權，確保可能由事故、錯誤、系統部件的篡改等原因造成的損失最小［5］。

（3）角色管理。信息技術環境條下，用戶可以運用各類工具訪問數據資源和設備資源，因此識別資源使用者的角色，及時發現混淆在正常用戶中的非授權者和黑客也變得更加重要，這一任務的技術難度也不斷提高。信息技術環境下的角色管理，訪問工具差異很大，安全管理人員不能籠統定義用戶角色，而應針對各類訪問工具的特征進行角色定義，并分析工具之間的差異，明晰角色之間的對應關系，對用戶角色集合劃分同類項，依據同類項定義角色管理策略。

（4）安全培訓。圖書館應根據涉及的業務范圍，分別對管理層、系統管理員和使用者進行信息安全的教育培訓。培訓內容主要包括：安全意識和法律意識的培養、泛在圖書館正確使用的程序培訓、系統災備程序培訓、系統審計制度的培訓［6］。

3.2 知識產權風險問題對策

如何避免圖書館聯盟后圖書館服務模式中知識產權的風險，如文獻傳遞，館際互借所帶來的版權問題。應采取如下措施：（1）將文獻傳遞控制在合理的使用范圍內。對文獻的傳遞，要限定在著作權法規定的范圍內，文獻傳遞的承擔人有義務提醒其服務對象不能將傳輸的文獻用于商業目的，只能用于個人學習，研究的目的。（2）各高校圖書館應制定自己的館際互借版權政策（多個圖書館聯合制定的），在政策允許的前提下進行館際互借。

4 結束語

目前，信息技術環境下的圖書館服務模式創新取得了一些成績，信息安全管理是服務模式創新的關鍵影響因素。本文分析了信息技術環境下圖書館運行中存在的新安全問題，并分別從技術、運行、管理、版權等4個層面重點論述了破解這些問題、實現新型圖書館服務模式高效運行的策略和舉措。希望這些信息安全技術及管理策略能起到“拋磚引玉”的作用，引發國內各圖書館信息管理者關注信息技術環境，思考和討論新技術環境和服務模式下圖書館安全管理問題，推動圖書館安全管理的實踐工作創新，實現科學發展、高效安全的圖書館用戶服務。

［1］申彥舒.國內泛在圖書館建設現狀調查研究［J］.四川圖書館學報，2012，（5）：40－43.

［2］鄭慶勝.數字圖書館網絡系統安全與數據安全問題探討［D］.導師：陳佩華.湘潭大學，2004：33－40.

［3］駱永成.數字圖書館敏感數據匿名發布若干關鍵技術研究［D］.導師：樂嘉錦.東華大學，2011：2－3.

［4］高萬斌.圖書館數字化信息的安全保障策略研究［D］.導師：余世明.浙江工業大學，2012：20－25.

［5］Ben Mankin.The Formalisation of Protection Systems［D］.UK：University of Bath，2004.

［6］柳純錄.系統集成項目管理工程師教程［M］.北京：清華大學出版社，2009：452－453.